JP2014229126A - ファイル監視周期制御装置、ファイル監視周期制御システム、ファイル監視周期制御方法及びファイル監視周期制御プログラム - Google Patents
ファイル監視周期制御装置、ファイル監視周期制御システム、ファイル監視周期制御方法及びファイル監視周期制御プログラム Download PDFInfo
- Publication number
- JP2014229126A JP2014229126A JP2013109099A JP2013109099A JP2014229126A JP 2014229126 A JP2014229126 A JP 2014229126A JP 2013109099 A JP2013109099 A JP 2013109099A JP 2013109099 A JP2013109099 A JP 2013109099A JP 2014229126 A JP2014229126 A JP 2014229126A
- Authority
- JP
- Japan
- Prior art keywords
- file
- monitoring
- monitoring cycle
- cycle control
- resource location
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 377
- 238000000034 method Methods 0.000 title claims description 40
- 230000005540 biological transmission Effects 0.000 claims abstract description 33
- 239000000284 extract Substances 0.000 claims abstract description 14
- 238000012806 monitoring device Methods 0.000 claims abstract description 10
- 238000001514 detection method Methods 0.000 claims description 60
- 230000006870 function Effects 0.000 description 44
- 238000012546 transfer Methods 0.000 description 29
- 238000004364 calculation method Methods 0.000 description 25
- 230000008569 process Effects 0.000 description 25
- 238000010586 diagram Methods 0.000 description 24
- 238000012545 processing Methods 0.000 description 20
- 230000008859 change Effects 0.000 description 15
- 238000004458 analytical method Methods 0.000 description 10
- 230000010365 information processing Effects 0.000 description 4
- 230000003247 decreasing effect Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
【課題】不正なファイルの監視周期を調整して不正なファイルの提供元に監視を検知される確率を低下させる。
【解決手段】ファイル監視周期制御システムは、不正なファイルの配置場所を特定する統一資源位置指定子を抽出し、当該統一資源位置指定子に配置されるファイルを監視する監視装置と、当該統一資源位置指定子に配置されるファイルの監視周期を制御するファイル監視周期制御装置と、を備える。ファイル監視周期制御装置は、統一資源位置指定子を含む命令のサーバへの送信を検出し、送信回数をカウントする計数部と、統一資源位置指定子により特定されるファイルの監視周期を、送信回数に応じて設定する設定部と、を備える。監視装置は、設定部が設定した監視周期に応じて統一資源位置指定子に配置されるファイルを取得し、当該ファイルの有無および差分を抽出する。
【選択図】図1
【解決手段】ファイル監視周期制御システムは、不正なファイルの配置場所を特定する統一資源位置指定子を抽出し、当該統一資源位置指定子に配置されるファイルを監視する監視装置と、当該統一資源位置指定子に配置されるファイルの監視周期を制御するファイル監視周期制御装置と、を備える。ファイル監視周期制御装置は、統一資源位置指定子を含む命令のサーバへの送信を検出し、送信回数をカウントする計数部と、統一資源位置指定子により特定されるファイルの監視周期を、送信回数に応じて設定する設定部と、を備える。監視装置は、設定部が設定した監視周期に応じて統一資源位置指定子に配置されるファイルを取得し、当該ファイルの有無および差分を抽出する。
【選択図】図1
Description
本発明は、ファイル監視周期制御装置、ファイル監視周期制御システム、ファイル監視周期制御方法及びファイル監視周期制御プログラムに関する。
近年、インターネットの普及に伴い、個人情報の管理やアプリケーションの配信を実施するサーバに対するサイバー攻撃が急増している。サイバー攻撃の代表例としては、攻撃者が正規ユーザのサーバや端末に不正にアクセスするために用いる攻撃ツールプログラムであるマルウェアを利用したDDoS(Distributed Denial of Services)攻撃やスパム送信、情報盗難などが挙げられる。これらの攻撃の多くは、既存のパーソナルコンピュータやサーバを乗っ取り、踏み台として利用し、他のパーソナルコンピュータやサーバを攻撃する形で実行される。
従来、これらの脅威に対処するために、ファイアウォール機能と転送データ監視機能をルータ等のパケット転送装置に実装することが行われている。かかる機能の実装により、パケット転送装置にサーバ監視機能を構築し、サーバの前段に配置する。そして、パケット転送装置を利用して、送受信されるデータの内容やパケットヘッダ内容に応じて通信を制御するアクセス制御を実現する。
上記アクセス制御技術においては、サーバ監視機能を開発するセキュリティベンダは、既知のソフトウェアの脆弱性やマルウェアを解析する。そして、セキュリティベンダは、攻撃者が攻撃のためにサーバ等に対して送信する可能性がある送信メッセージのパターンをシグネチャ化する。そして、セキュリティベンダは、シグネチャに合致する送信メッセージをフィルタするようサーバ監視機能を構築する。これによって、攻撃者の不正アクセスからサーバ等を防御することができる。
また、脆弱性があるソフトウェアを故意に搭載したおとりサーバをサーバ監視機能の配下に配置し、サーバ監視機能によっておとりサーバへのアクセスを監視することが提案されている。これによってサーバ監視機能は、たとえば攻撃者がアプリケーション提供サーバ等に不正アクセスする際に利用するマルウェア等のプログラムをおとりサーバがダウンロードする際の挙動を検出する。そして、サーバ監視機能は、おとりサーバがダウンロードを要求した要求先を、マルウェアダウンロード用のサイトとして特定する。かかるサーバ監視機能によってマルウェアダウンロード用のサイトであると特定されたサイト等のリストを、ブラックリストとする。そして、顧客サーバまたは顧客サーバとネットワークとの境界に配置されたファイアウォール機能やセキュリティアプライアンス等に、ブラックリストを入力しておく。これによって、顧客サーバのマルウェアへの感染を防止することができる。
八木毅、谷本直人、針生剛男、伊藤光恭、「Webサイト向けマルウェアダウンロードサイトの生存期間監視方式」、信学技報、vol. 110, no. 78, IA2010-14, pp. 75-80, 2010年6月
しかしながら、マルウェアダウンロード用のサイトは、攻撃に使用される期間が限られている。また、一般のWebサイトがマルウェアダウンロード用のサイトとして悪用されることが多いため、悪用されていたWebサイトの管理者がマルウェアを発見して駆除することもある。さらに、攻撃者がブラックリストによる攻撃防御を回避するために、マルウェアダウンロード用のサイトを頻繁に変えることも考えられる。このように、マルウェアの配置場所が変更され、マルウェアが配置されなくなったサイトがある場合、他のサービスを提供する観点からかかるサイトをブラックリストから外す必要がある。
しかし、攻撃者が積極的にマルウェアの配置場所を他のサイトに変更した場合、防御側は、新たなマルウェアダウンロード用のサイトを発見するまで、当該マルウェアを使用した攻撃を検知することができない。しかし、頻繁にファイルを再取得してマルウェアか否かを確認すると、防御側は攻撃自体の検知を行うことができず検知漏れを生じる。他方、防御側が、マルウェアが配置され続けているか否かを頻繁に確認しなければ、マルウェアの配置場所の変更を確認できず、マルウェアダウンロード用のサイトではなくなったサイトまでもブラックリストに載せてしまうことになる。その結果、防御側は、攻撃ではないアクセスも攻撃として誤検出してしまう。
開示の実施の形態は、上記に鑑みてなされたものであって、不正なファイルの監視周期を調整して不正なファイルの提供元に監視を検知される確率を低下させることを目的とする。
上述した課題を解決し、目的を達成するために、開示の実施形態に係るファイル監視周期制御装置は、不正なファイルの配置場所を特定する統一資源位置指定子を抽出し、当該統一資源位置指定子に配置されるファイルを監視する監視部と、所定の統一資源位置指定子を含む命令のサーバへの送信を検出し、送信回数をカウントする計数部と、所定の統一資源位置指定子により特定されるファイルの監視周期を、送信回数に応じて設定する設定部と、を備えることを特徴とする。
また、開示の実施形態に係るファイル監視周期制御システムは、不正なファイルの配置場所を特定する統一資源位置指定子を抽出し、当該統一資源位置指定子に配置されるファイルを監視する監視装置と、統一資源位置指定子に配置されるファイルの監視周期を制御するファイル監視周期制御装置と、を備える。ファイル監視周期制御装置は、統一資源位置指定子を含む命令のサーバへの送信を検出し、送信回数をカウントする計数部と、統一資源位置指定子により特定されるファイルの監視周期を、前記送信回数に応じて設定する設定部と、を備える。監視装置は、設定部が設定した監視周期に応じて統一資源位置指定子に配置されるファイルを取得し、当該ファイルの有無および差分を抽出することを特徴とする。
また、開示の実施形態に係るファイル監視周期制御方法は、不正なファイルの配置場所を特定する統一資源位置指定子を抽出し、当該統一資源位置指定子に配置されるファイルを監視する監視装置と、統一資源位置指定子に配置されるファイルの監視周期を制御するファイル監視周期制御装置と、を備えるファイル監視周期制御システムで実行される。そして、ファイル監視周期制御装置は、前記統一資源位置指定子を含む命令のサーバへの送信を検出し、送信回数をカウントする計数工程と、ファイル監視周期制御装置は、統一資源位置指定子により特定されるファイルの監視周期を、送信回数に応じて設定する設定工程と、監視装置は、設定工程において設定した監視周期に応じて統一資源位置指定子に配置されるファイルを取得し、当該ファイルの有無および差分を検出する検出工程と、を含んだことを特徴とする。
また、開示の実施形態に係るファイル監視周期制御プログラムは、不正なファイルの配置場所を特定する統一資源位置指定子を含む命令のサーバへの送信を検出し、送信回数をカウントする計数ステップと、統一資源位置指定子により特定されるファイルの監視周期を、送信回数に応じて設定する設定ステップと、設定ステップにおいて設定した監視周期に応じて統一資源位置指定子に配置されるファイルを取得し、当該ファイルの有無および差分を検出する検出ステップと、をコンピュータに実行させる。
開示するファイル監視周期制御装置、ファイル監視周期制御システム、ファイル監視周期制御方法及びファイル監視周期制御プログラムは、不正なファイルの監視周期を調整して不正なファイルの提供元に監視を検知される確率を低下させるという効果を奏する。
以下に、本発明に係るファイル監視周期制御装置、ファイル監視周期制御システム、ファイル監視周期制御方法及びファイル監視周期制御プログラムの実施形態を図面に基づいて詳細に説明する。なお、この実施形態によりこの発明が限定されるものではない。
(第1の実施形態)
図1は、第1の実施形態に係るファイル監視周期制御システムの構成の一例を示す図である。図1を参照して、第1の実施形態に係るファイル監視周期制御システム1の構成の一例につき説明する。
図1は、第1の実施形態に係るファイル監視周期制御システムの構成の一例を示す図である。図1を参照して、第1の実施形態に係るファイル監視周期制御システム1の構成の一例につき説明する。
図1中、二つのネットワークの境界上にファイル監視周期制御装置10が配置される。ファイル監視周期制御装置10の詳細については後述する。
ファイル監視周期制御装置10は、端末装置20A〜20Cおよびファイルサーバ30A〜30Cと、ネットワーク40を介して接続される。
端末装置20A〜20Cは、攻撃者が使用する端末である。攻撃者は、端末装置20A〜20Cを介して攻撃対象である装置に対して不正な命令を送信する。また、攻撃者は、端末装置20A〜20Cを介して攻撃に使用するマルウェアを任意のファイルサーバに配置する。
ファイルサーバ30A〜30Cは、攻撃者が攻撃に使用するマルウェア等を格納するサーバである。ファイルサーバ30A〜30Cは、ftpプロトコルやhttpプロトコルに代表される転送プロトコルに対応しており、ホスト名としてhost#1が割り当てられているものとする。端末装置20A〜20Cやサーバ50(後述)、おとりサーバ60(後述)がファイルサーバ30Aにアクセスするためには、統一資源位置指定子(URL:Uniform Resource Locator)として、たとえば、http://host#1/d-B/d-C/file-aを指定するものとする。
ネットワーク40は、端末装置20A〜20Cおよびファイルサーバ30A〜30Cからのデータ通信を実現する。ネットワーク40の種類は特に限定されず、たとえばインターネットや、ローカルエリアネットワーク(LAN)、広域ネットワーク(WAN)等、端末装置20A〜20Cやファイルサーバ30A〜30Cを用いた不正な攻撃の媒介となりうるものであればよい。
ファイル監視周期制御装置10はまた、サーバ50およびおとりサーバ60と、ネットワーク70を介して接続される。
サーバ50は、アプリケーションによりユーザにサービスを提供する機能を備える。たとえばサーバ50は、Webサーバであり、Webアプリケーションによりユーザにブログや掲示板やソーシャルネットワークサービス等を提供する。
第1の実施形態では、攻撃者が使用する端末装置20A〜20Cを介した攻撃を受ける被攻撃者の装置がサーバ50であるとする。
攻撃者がサーバ50をマルウェアに感染させる場合、まず攻撃者は、たとえば端末装置20Aからサーバ50にたとえばファイルサーバ30Aに配置したマルウェアを取得させる命令を送信する。サーバ50のソフトウェアに脆弱性がある場合、サーバ50は、攻撃者からの命令を実行して、マルウェアを取得し実行する。これによってサーバ50はマルウェアに感染する。
おとりサーバ60は、サーバ50を攻撃から保護するために配置される。図1の例ではおとりサーバ60は、ハニーポットと呼ばれる装置であってよい。おとりサーバ60は、脆弱なソフトウェアを搭載し、攻撃を収集して攻撃に記述された命令に従い、ファイルサーバ30A〜30C等からファイルをダウンロードする。たとえば、おとりサーバ60は、ファイルサーバ30Aからマルウェアをダウンロードする。おとりサーバ60は意図的に脆弱なソフトウェアを搭載し、ダウンロードするソフトウェアはマルウェアであることが多い。
おとりサーバ60を配置することで、マルウェアの配布に利用されたファイルサーバの統一資源位置指定子のリスト(以下、ブラックリストとも呼ぶ。)を生成し、そのファイルサーバに配置されていたファイルや、ファイルを取得した際の攻撃者からの命令等を取得することができる。
なお、図1の例では、説明の便宜上、攻撃者が攻撃に使用する端末装置およびファイルサーバはそれぞれ3台図示し、防御用のおとりサーバは1台図示する。しかし、実際のネットワーク環境においては、図示した例に限定されず、攻撃者、被攻撃者、ファイルサーバ、おとりサーバのいずれも複数存在するのが通常である。本実施形態のファイル監視周期制御システム1は図1に示す例に限定されず、複数の攻撃者やおとりサーバ等が存在するネットワーク環境に適用できる。
[ファイル監視周期制御装置10の構成の一例]
さらに図1を参照し、ファイル監視周期制御装置10の構成の一例につき説明する。ファイル監視周期制御装置10は、制御部100と記憶部200とを備える。制御部100は、ファイル監視周期制御装置10の各部の処理や動作を制御する。記憶部200は、ファイル監視周期制御装置10における処理に使用する情報や処理の結果生成される情報等を記憶する。
さらに図1を参照し、ファイル監視周期制御装置10の構成の一例につき説明する。ファイル監視周期制御装置10は、制御部100と記憶部200とを備える。制御部100は、ファイル監視周期制御装置10の各部の処理や動作を制御する。記憶部200は、ファイル監視周期制御装置10における処理に使用する情報や処理の結果生成される情報等を記憶する。
制御部100は、転送部110、検知部120、監視部130および周期制御部140を備える。
転送部110は、ネットワーク40とネットワーク70との間でのデータ転送機能を実現する。
第1の実施形態では、ファイル監視周期制御装置10が転送部110を備え、転送部110がデータ転送機能を実現するものとして説明する。しかし、これに限らず、ファイル監視周期制御装置10の他の機能からデータ転送機能を切り離して、別の装置によってデータ転送機能を実現してもよい。
たとえば、ホームネットワークとインターネットとの境界に配置されるホームゲートウェイ等を、ファイル監視周期制御装置10と通信可能に接続し、ホームゲートウェイにデータ転送機能を実装してもよい。また、データ転送機能は、ホスティング環境やデータセンタおよび企業ネットワークとインターネットとの境界に配置されるゲートウェイやプロキシと呼ばれる中継装置によって実現してもよい。また、セキュリティアプライアンスやファイアウォール等の機能とともに、スイッチやルータ等にデータ転送機能を実装し、ファイル監視周期制御装置10と通信可能に接続して配置してもよい。
検知部120は、転送部110またはサーバ50と接続される。検知部120は、転送部110が受信したアクセスまたはサーバ50が受信したアクセスから、ファイルサーバ30A〜30Cに相当する統一資源位置指定子を抽出する。検知部120は、抽出した統一資源位置指定子を、監視部130に通知する。検知部120は、このようにして、ファイルサーバ検知機能を実現し、サーバ50にアクセスするファイルサーバ30A〜30Cを検知し当該ファイルサーバ30A〜30Cに格納されるファイルを統一資源位置指定子によって特定する。
第1の実施形態では、ファイル監視周期制御装置10が検知部120を備え、検知部120がファイルサーバ検知機能を実現する。しかし、これに限られず、ファイルサーバ検知機能をファイル監視周期制御装置10の他の機能から切り離し、別の装置に実装してもよい。また、転送部110と検知部120とをファイル監視周期制御装置10から切り離し、他の装置にモジュールとして実装してもよい。また、検知部120の機能をサーバ50内に組み込んでもよい。また、サーバ50のログからファイルサーバ30A〜30C等の統一資源位置指定子を抽出するように構成してもよい。この場合、検知部120をサーバ50に設けてもよい。
検知部120は、抽出した統一資源位置指定子をリストにする。検知部120はさらに、生成したリストと、ファイルサーバから取得したファイルと、受信した命令、すなわち攻撃者からの命令である可能性がある情報等と、を監視部130に送る。
ファイルサーバ検知機能が、他の装置やサーバ50に組み込まれる場合には、監視部130は、当該装置やサーバ50にアクセスして、リスト、ファイルおよび命令等を取得する。また、サーバ50のログからファイルサーバの統一資源位置指定子を直接抽出する場合は、監視部130とサーバ50とを接続し、サーバ50のログから統一資源位置指定子を抽出すればよい。また、オペレータがサーバ50のログから統一資源位置指定子を抽出して情報を手入力することもできる。この場合には、ファイルサーバ検知機能を実現する別の装置や検知部120を別に設ける必要はなく、ファイルサーバ検知機能と監視部130とを接続する必要もない。
監視部130は、検知部120と接続され、ファイル監視機能を実現する。図2を参照して、監視部130の構造の一例を説明する。図2は、第1の実施形態に係るファイル監視周期制御装置10が備える監視部130の構成の一例を示す図である。
監視部130は、変更検出部131と、リスト更新部132と、周期設定部133と、解析部134とを備える。
変更検出部131は、検知部120からファイルサーバ30A〜30C上のファイルの統一資源位置指定子のリスト等を取得する。そして、変更検出部131は、リストに登録された統一資源位置指定子のファイルの取得を試行し、ファイルの有無やファイルの変化を検出する。変更検出部131は、後述する周期設定部133が設定した監視周期ごとにファイルの取得および検出を実行する。
リスト更新部132は、変更検出部131が、ファイルがなくなったことまたはファイルの変化を検出した場合、当該ファイルに対応する統一資源位置指定子を監視対象から除外する。またリスト更新部132は、解析部134が新しい不正ファイルを検出し通知した場合に、当該ファイルの統一資源位置指定子を監視対象として登録する。具体的には、リスト更新部132は、後述する監視対象リスト201を更新する。
周期設定部133は、統一資源位置指定子のファイルを取得する周期(以下、「監視周期」とも呼ぶ。)を、監視対象リスト201に登録された統一資源位置指定子ごとに設定する。周期設定部133は、設定した監視周期を監視対象リスト201に登録する。周期設定部133は、後述する周期制御部140により監視周期を通知される前は、予めデフォルト値として定められた監視周期を設定する。周期制御部140により監視周期を通知された場合は、周期設定部133は、通知に応じた監視周期を設定し、監視対象リスト201に登録する。
解析部134は、検知部120が取得したファイルからマルウェアを検出して、当該マルウェアが配置された統一資源位置指定子を特定する。解析部134は、たとえば、ファイル監視周期制御装置10に実装されるアンチウィルスソフトやマルウェア動的解析機能を使用して、取得したファイルがマルウェアか否かを判定する。マルウェアと判定した場合、解析部134は、リスト更新部132に通知し、当該ファイルに対応する統一資源位置指定子を監視対象リスト201に登録させる。また、解析部134は、変更検出部131がファイルの変更を検出した場合、変更後のファイルがマルウェアか否かを判定する。
次に、図3を参照して周期制御部140について説明する。図3は、第1の実施形態に係るファイル監視周期制御装置10が備える周期制御部140の構成の一例を示す図である。
周期制御部140は、対象取得部141と、計数部142と、周期算出部143と、周期設定部144と、を備える。
対象取得部141は、監視部130から、現在監視対象としている統一資源位置指定子を収集する。また、対象取得部141は、監視部130から各統一資源位置指定子の監視周期を収集する。たとえば、対象取得部141は、監視部130により管理、更新される監視対象リスト201から統一資源位置指定子および監視周期を取得すればよい。また、対象取得部141は、収集した統一資源位置指定子と監視周期を、計数部142に通知する。対象取得部141は、定期的に監視部130または監視対象リスト201から統一資源位置指定子を収集するよう構成してもよい。また、対象取得部141は、監視部130が監視対象リスト201に対して統一資源位置指定子の登録や削除を行った場合に、監視部130から通知を受け通知に応じて監視対象リスト201にアクセスするように構成してもよい。
計数部142は、検知部120またはサーバ50から各統一資源位置指定子が記述されたアクセスの数を収集する。また、計数部142は、収集した情報を周期算出部143に通知する。計数部142は、定期的にアクセス数を収集するよう構成してもよい。また、計数部142は、検知部120またはサーバ50が、監視対象である統一資源位置指定子が記述されたアクセスを検出した場合に、検知部120またはサーバ50から通知を受けるように構成してもよい。また、オペレータが検知部120またはサーバ50のログからアクセス数を取得し、取得したアクセス数を計数部142に手入力するように構成してもよい。この場合、計数部142は、検知部120やサーバ50と通信するように構成しなくてよい。収集したアクセス数は、監視周期データテーブル202(後述)に登録する。
周期算出部143は、計数部142からアクセス数の通知を受け、通知されたアクセス数に応じて監視周期を算出する。または周期算出部143は、監視周期データテーブル202からアクセス数を読み出し監視周期を算出するように構成してもよい。または、周期算出部143は、アクセス数が所定数に達したときに計数部142から通知を受けるように構成してもよい。周期算出部143は、算出した監視周期と当該監視周期を適用する統一資源位置指定子とを、周期設定部144に通知する。監視周期の算出処理の詳細については後述する。周期算出部143はまた、対象取得部141から新たに監視対象となった統一資源位置指定子の通知を受ける。
周期設定部144は、周期算出部143から通知された監視周期と統一資源位置指定子を、監視部130に通知し、新たな監視周期として監視対象リスト201に設定させる。
このように、第1の実施形態に係るファイル監視周期制御装置10は、サーバ50に対するアクセスのうち、所定の統一資源位置指定子が記述されたアクセスの数を検出し、当該アクセス数に応じて、当該統一資源位置指定子に配置されるファイルを監視する周期を設定する。
[記憶部200に格納される情報の一例]
次に、図4および図5を参照して、記憶部200に格納される情報について説明する。図4は、第1の実施形態に係るファイル監視周期制御装置10が備える監視対象リスト201の構造の一例を示す図である。図5は、第1の実施形態に係るファイル監視周期制御装置10が備える監視周期データテーブル202の構造の一例を示す図である。記憶部200は、監視対象リスト201と監視周期データテーブル202とを記憶する。
次に、図4および図5を参照して、記憶部200に格納される情報について説明する。図4は、第1の実施形態に係るファイル監視周期制御装置10が備える監視対象リスト201の構造の一例を示す図である。図5は、第1の実施形態に係るファイル監視周期制御装置10が備える監視周期データテーブル202の構造の一例を示す図である。記憶部200は、監視対象リスト201と監視周期データテーブル202とを記憶する。
図4に示すように、監視対象リスト201は、現在監視対象となっている統一資源位置指定子と、当該統一資源位置指定子に配置されるファイルの監視周期と、を記憶する。たとえば、図4に示す例では、「監視対象」として記憶される「http://host#1/d-A/d-B/d-C/file-a」に対応して、「監視周期」として「1000」が記憶されている。また、「監視対象」として記憶される「http://host#5/d-V/d-D/d-H/file-c」に対応して、「監視周期」として「500」が記憶されている。また、「監視対象」として記憶される「http://host#7/d-N/d-O/d-R/file-q」に対応して、「監視周期」として「1500」が記憶されている。
監視対象リスト201は、監視部130の変更検出部131がファイルの変更等を検出した場合に、リスト更新部132によって更新される。また、検知部120が検知した統一資源位置指定子のうち、解析部134がマルウェアの配置位置ではないと判定した統一資源位置指定子は、監視対象リスト201には登録されない。
監視対象リスト201に登録される監視周期は、対応する統一資源位置指定子が初めて登録される際には、予め定められたデフォルトの値が設定されるものとする。周期制御部140による制御開始後は、周期制御部140(周期設定部144)が通知する監視周期に応じて、周期設定部133が監視周期を設定する。
次に図5に示すように、監視周期データテーブル202は、監視部130が監視対象としている統一資源位置指定子ごとに、現在の監視周期と、前の監視周期において計数部142が通知したアクセス数と、現在の監視周期中に検出されているアクセス数と、を記憶する。さらに、監視周期データテーブル202は、次の監視周期を記述する領域と、各統一資源位置指定子の前回の監視時からの経過時間を管理するタイマとから構成される。
タイマは、リボルバー形式等を採用して全エントリを一つのタイマで管理するように構成してもよい。この場合は、タイマ機能を周期制御部140に設ければよく、監視周期データテーブル202専用のタイマは設けなくてよい。
また、第1の実施形態では、監視周期の算出の際、直前の監視周期に検出されたアクセス数を使用する。しかし、これに限定されず、過去の全てのアクセス履歴や、過去のアクセス履歴の任意の一部を利用してもよい。この場合は、監視周期データテーブル202を、過去の全アクセス履歴(アクセス数)を記述できるように構成する。また、過去のアクセス数を各監視周期別に管理して、時系列的なデータとして使用してもよい。この場合は、監視周期データテーブル202を、過去の監視周期と当該周期中のアクセス数とを対応づけて記述できるように構成する。
[監視周期算出処理]
次に、図6を参照し、監視周期と監視周期算出処理についてさらに説明する。図6は、第1の実施形態における監視周期と監視周期算出処理を説明するための図である。
次に、図6を参照し、監視周期と監視周期算出処理についてさらに説明する。図6は、第1の実施形態における監視周期と監視周期算出処理を説明するための図である。
図6に示すように、時間軸に沿って現在までに、監視周期301および監視周期302が経過しており、現在は監視周期303中であるとする。現在の監視周期を算出する時点では、監視周期データテーブル202には、監視周期302中のアクセス数であるアクセス数312と、その直前の監視周期301中のアクセス数311とが記述されている。
周期算出部143は、監視周期302中のアクセス数312が直前の監視周期301中のアクセス数311よりも増加している場合、監視周期301と302との差分およびアクセス数311と312との差分に基づいて、監視周期303を算出する。たとえば、アクセス数が所定数以上増加している場合は、監視周期をあらかじめ定められた長さだけ長くする。周期算出部143は、算出を終えると、算出した監視周期を次の監視周期として監視周期データテーブル202に登録する。
所定の周期が終了し、監視周期データテーブル202を更新するときは、周期算出部143は、監視周期301中のアクセス数311および監視周期301の情報を監視周期データテーブル202から削除する。そして、周期算出部143は、監視周期302とアクセス数312とを、直前監視周期のデータとして監視周期データテーブル202に登録する。そして、周期算出部143は、新たに算出した監視周期303と当該周期中に検出されたアクセス数313とを現在の監視周期のデータとして監視周期データテーブル202に登録する。
ここでは、監視周期の算出において直前の周期中のアクセス数を利用する。しかし、これに限らず、上述したように過去の全アクセス数等、他のアクセス数を利用する場合は、それに応じて算出手法を変更する。また、時系列のアクセス数の移動平均を算出し、その増減に応じて監視周期を増減させる等の手法を採用してもよい。
[監視周期データテーブル202への統一資源位置指定子の登録]
次に、図7を参照し、監視周期データテーブル202へ統一資源位置指定子が登録される際の処理について説明する。図7は、第1の実施形態における監視周期制御処理により監視周期データテーブル202に統一資源位置指定子が登録される処理の一例を説明するための図である。
次に、図7を参照し、監視周期データテーブル202へ統一資源位置指定子が登録される際の処理について説明する。図7は、第1の実施形態における監視周期制御処理により監視周期データテーブル202に統一資源位置指定子が登録される処理の一例を説明するための図である。
図7の例では、周期制御部140の対象取得部141は、監視部130から監視対象となる統一資源位置指定子の通知を受ける(図7の(1))。対象取得部141は、通知された統一資源位置指定子の情報を、周期算出部143に送る(図7の(2))。周期算出部143は、通知された統一資源位置指定子と対応する監視周期とを監視周期データテーブル202に登録する(図7の(3))。監視部130は、新たに監視対象となった統一資源位置指定子がある場合に、逐次対象取得部141に通知してもよいし、定期的に新しい監視対象の情報を通知してもよい。
また、対象取得部141は、監視部130から統一資源位置指定子の通知を受けるのではなく、検知部120またはサーバ50から新たに検出された統一資源位置指定子の通知を受けるように構成してもよい。この場合、マルウェアに対応する統一資源位置指定子の検出は、監視部130の解析部134以外の機能部で行うように構成してもよい。
[監視周期データテーブル202へのアクセス数の登録]
次に、図8を参照し、監視周期データテーブル202へアクセス数が登録される際の処理について説明する。図8は、第1の実施形態における監視周期制御処理により統一資源位置指定子のアクセス数が登録される処理の一例を説明するための図である。
次に、図8を参照し、監視周期データテーブル202へアクセス数が登録される際の処理について説明する。図8は、第1の実施形態における監視周期制御処理により統一資源位置指定子のアクセス数が登録される処理の一例を説明するための図である。
計数部142は、検知部120またはサーバ50から統一資源位置指定子のアクセス数を通知される(図8の(1))と、監視周期データテーブル202の該当するエントリに通知されたアクセス数を加算する(図8の(2))。すなわち、計数部142は、監視周期データテーブル202の、当該統一資源位置指定子に対応する現在の監視周期のアクセス数として登録されているアクセス数に通知されたアクセス数を加算する。
なお、検知部120またはサーバ50は、該当するアクセスが検出されるごとに当該アクセスを通知してもよいし、所定期間アクセス検出を行った後に検出された複数のアクセスを通知してもよい。
監視周期の計算は基本的に監視周期ごとに1回行うものとする。しかし、新しくアクセス数が加算された時点で、次の監視周期の算出を行うことができる場合は、通知を受けた後に監視周期の再計算を行って、算出した周期を次の監視周期として設定してもよい。たとえば、新しくアクセス数が加算されたことで、直前期間との差分を算出し、アクセス数が増加していればその時点で次の監視周期を算出するように構成してもよい。また、算出した差分が所定の値を超えている場合のみ、その時点で次の監視周期を算出するように構成してもよい。また、アクセス数の増加数または減少数が、所定数を超えている場合には、その時点で次の監視周期を算出するように構成してもよい。なお、アクセス数の差分が増加しているか否かを判定する際には、単位時間当たりのアクセス数を比較して判定すればよい。たとえば、1秒あたりのアクセス数が増加しているか否かを判定すればよい。
[監視周期データテーブル202の更新]
次に、図9を参照し、監視周期データテーブル202が更新される際の処理について説明する。図9は、第1の実施形態における監視周期制御処理により監視周期データテーブル202が更新される処理の一例を説明するための図である。
次に、図9を参照し、監視周期データテーブル202が更新される際の処理について説明する。図9は、第1の実施形態における監視周期制御処理により監視周期データテーブル202が更新される処理の一例を説明するための図である。
ある時点で、監視周期データテーブル202に登録されている統一資源位置指定子のうち、対応するタイマの値が1から0になった統一資源位置指定子のエントリがあるとする。周期算出部143はタイマが0になると、周期設定部144に当該統一資源位置指定子と次の監視周期とを通知する(図9の(1))。また、周期算出部143は、監視周期データテーブル202において、次の監視周期のエントリに記述されている周期を現在の監視周期のエントリに移動させ、現在の監視周期のアクセス数を0にクリアする(図9の(2))。そして新たに次の監視周期を記述する。このとき、新たに記述する次の監視周期は、現在の監視周期のアクセス数が0であると仮定した場合に算出される次の監視周期とする。
[次の監視周期の通知]
次に、図10を参照し、監視周期を監視部130に通知する処理について説明する。図10は、第1の実施形態における監視周期制御処理により監視周期が通知される処理の一例を説明するための図である。
次に、図10を参照し、監視周期を監視部130に通知する処理について説明する。図10は、第1の実施形態における監視周期制御処理により監視周期が通知される処理の一例を説明するための図である。
監視周期の通知は、周期設定部144が実行する。周期設定部144は具体的には、統一資源位置指定子と当該統一資源位置指定子に適用される監視周期とを、監視部130に通知する(図10の(1))。監視部130では、通知を受けると、周期設定部133が監視対象リスト201に登録された監視周期を適宜更新する。
[監視周期制御処理の流れ]
次に、図11を参照し、周期制御部140により実現される監視周期制御処理の流れの一例について説明する。図11は、第1の実施形態における監視周期制御処理の流れの一例を示すフローチャートである。
次に、図11を参照し、周期制御部140により実現される監視周期制御処理の流れの一例について説明する。図11は、第1の実施形態における監視周期制御処理の流れの一例を示すフローチャートである。
まず、対象取得部141は、監視部130から現在監視対象としている統一資源位置指定子と、当該統一資源位置指定子に対応する監視周期とを取得する(ステップS1101)。対象取得部141が取得した情報は、監視周期データテーブル202に登録される。そして、監視周期の開始とともに、各統一資源位置指定子に対応づけてタイマによるカウントが開始する(ステップS1102)。計数部142は、検知部120またはサーバ50において検出される、各統一資源位置指定子が記述されたアクセス数を収集する(ステップS1103)。収集したアクセス数は、監視周期データテーブル202に登録される。
現在の監視周期のアクセス数と直前の監視周期のアクセス数との差分が予め定められた条件を満たす場合、周期算出部143は、アクセス数に基づいて次の監視周期を算出する(ステップS1104)。次の監視周期は監視周期データテーブル202に登録される(ステップS1105)。そして、次の周期が開始すると、すなわち、タイマが0になると(ステップS1106、肯定)、監視周期データテーブルの更新処理を実行して監視部130に周期が通知され、ステップS1102に戻り次の監視周期のカウントを開始する。次の周期が開始していない場合(ステップS1106、否定)、ステップS1103に戻って処理を繰り返す。
監視周期データテーブル202に登録された統一資源位置指定子各々について図11の処理を繰り返すことで、アクセス数に応じた監視周期が設定される。第1の実施形態では、所定の統一資源位置指定子が記述されたアクセスの数が増加すると、監視周期を長く設定する。アクセス数が多いときは、当該統一資源位置指定子を用いた攻撃が活発に行われていると考えられ、頻繁に監視を行う必要がないからである。また攻撃が活発に行われているときは、監視ではなく攻撃自体の検出を重視して実行するためである。
ただし、監視周期の設定においては、攻撃者の状態変化や攻撃の種類に応じて、異なる設定手法を採用してよい。たとえば、アクセスの数が増加している場合に、監視対象の状態が変化している可能性があることを考慮して、監視周期を短く設定してもよい。また、アクセス数が減少している場合は攻撃が減少していると判断して、監視周期を長く設定してもよい。
[第1の実施形態に係るファイル監視周期制御システムの効果]
上述の通り、第1の実施形態に係るファイル監視周期制御システムにおいて、ファイル監視周期制御装置は、不正なファイルの配置場所を特定する統一資源位置指定子を抽出し、当該統一資源位置指定子に配置されるファイルを監視する監視部と、所定の統一資源位置指定子を含む命令のサーバへの送信を検出し、送信回数をカウントする計数部と、所定の統一資源位置指定子により特定されるファイルの監視周期を、送信回数に応じて設定する設定部と、を備える。このため、不正なファイルの監視周期を調整して不正なファイルの提供元に監視を検知される確率を低下させることができる。また、アクセス者の行動に応じて監視周期を制御することができる。
上述の通り、第1の実施形態に係るファイル監視周期制御システムにおいて、ファイル監視周期制御装置は、不正なファイルの配置場所を特定する統一資源位置指定子を抽出し、当該統一資源位置指定子に配置されるファイルを監視する監視部と、所定の統一資源位置指定子を含む命令のサーバへの送信を検出し、送信回数をカウントする計数部と、所定の統一資源位置指定子により特定されるファイルの監視周期を、送信回数に応じて設定する設定部と、を備える。このため、不正なファイルの監視周期を調整して不正なファイルの提供元に監視を検知される確率を低下させることができる。また、アクセス者の行動に応じて監視周期を制御することができる。
(第2の実施形態)
次に、第2の実施形態として、おとりサーバ60へのアクセス数に基づいて監視周期を調整する例を説明する。第2の実施形態に係るファイル監視周期制御システムの構成は第1の実施形態に係るファイル監視周期制御システムと同様であるため、図示は省略し、共通する構成要素は共通する参照符号で表す。
次に、第2の実施形態として、おとりサーバ60へのアクセス数に基づいて監視周期を調整する例を説明する。第2の実施形態に係るファイル監視周期制御システムの構成は第1の実施形態に係るファイル監視周期制御システムと同様であるため、図示は省略し、共通する構成要素は共通する参照符号で表す。
第1の実施形態においては、サーバ50または検知部120が検知したアクセス数に応じて監視周期を設定した。これに対して、第2の実施形態に係るファイル監視周期制御システムは、おとりサーバ60が受信したアクセス数に応じて監視周期を設定する。具体的には、おとりサーバ60が単位時間あたりに受信した、所定の統一資源位置指定子が記述された攻撃数に応じて監視周期を設定する。
第2の実施形態において、転送部110、検知部120、監視部130の機能を搭載した監視装置と、周期制御部140の機能を搭載したファイル監視周期制御装置とを別々に設けてもよい。
なお、所定の統一資源位置指定子が記述された攻撃を検出する位置はおとりサーバ60の位置に限定されず、ネットワーク上の任意の位置に検出部を設ければよい。
[第2の実施形態の効果]
上述のように、第2の実施形態に係るファイル監視周期制御システムは、サーバに対する不正な命令を検出するおとりサーバをさらに備える。そして、計数部は、不正な命令によりおとりサーバが取得を指示されたファイルが配置される統一資源位置指定子が記述された攻撃の、単位時間あたりの数をカウントする。設定部は、計数部がカウントした単位時間あたりの攻撃数に応じて、取得を指示されたファイルの監視周期を設定する。そして、監視装置(転送部110、検知部120、監視部130に相当)は、設定部が設定した監視周期に応じて統一資源位置指定子に配置されるファイルを取得し、当該ファイルの有無および差分を抽出する。このため、不正なファイルの監視周期を調整して不正なファイルの提供元に監視を検知される確率を低下させることができる。
上述のように、第2の実施形態に係るファイル監視周期制御システムは、サーバに対する不正な命令を検出するおとりサーバをさらに備える。そして、計数部は、不正な命令によりおとりサーバが取得を指示されたファイルが配置される統一資源位置指定子が記述された攻撃の、単位時間あたりの数をカウントする。設定部は、計数部がカウントした単位時間あたりの攻撃数に応じて、取得を指示されたファイルの監視周期を設定する。そして、監視装置(転送部110、検知部120、監視部130に相当)は、設定部が設定した監視周期に応じて統一資源位置指定子に配置されるファイルを取得し、当該ファイルの有無および差分を抽出する。このため、不正なファイルの監視周期を調整して不正なファイルの提供元に監視を検知される確率を低下させることができる。
また、おとりサーバ60を利用して周期を決定できるので、ファイル監視周期制御装置10からサーバ50へのアクセス数やファイル監視周期制御装置10へのデータ転送への影響を低減することができ、より綿密な攻撃検出が可能となる。また、攻撃者に確認を検知されたマルウェアが別のサイトに再配置される事態を回避することができる。その結果、新たなサイトに配置されたマルウェアを用いた攻撃を検知できない事態が回避でき、ブラックリストを用いた防御における検知漏れを抑制できる。
(第3の実施形態)
これまで本発明の実施形態について説明したが、本発明は上述した実施形態以外にも、その他の実施形態にて実施されてもよい。以下に、その他の実施形態を説明する。
これまで本発明の実施形態について説明したが、本発明は上述した実施形態以外にも、その他の実施形態にて実施されてもよい。以下に、その他の実施形態を説明する。
[システム構成]
本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。例えば、統一資源位置指定子の抽出や監視周期のデフォルト値の設定等は、オペレータが手動で行ってもよい。この他、上述文書中や図面中に示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。例えば、統一資源位置指定子の抽出や監視周期のデフォルト値の設定等は、オペレータが手動で行ってもよい。この他、上述文書中や図面中に示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、図示したファイル監視周期制御システムおよびファイル監視周期制御装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。例えば、図1に示す例では、転送部110、検知部120、監視部130、周期制御部140を一つの装置の制御部100の構成要素として記載した。しかし、転送部110、検知部120、監視部130、周期制御部140をそれぞれ独立した装置として実装してもよい。また、その場合には、記憶部200に格納される情報のうち、転送部110、検知部120、監視部130、周期制御部140での処理に供する情報を別々の装置に格納してもよい。
図12は、1実施形態のファイル監視周期制御システムが動作するネットワークモデルの構成の一例を示す図である。たとえば、図12に示すように、攻撃者の端末2、攻撃に利用されるファイルサーバ3が配置されるネットワークXと、被攻撃者のサーバ4が配置されるネットワークYとの境界上に複数の機能を別装置として配置してもよい。図12の例では、ファイル監視周期制御機能5と、ファイル監視機能6と、ファイルサーバ検知機能7と、データ転送機能8と、がそれぞれ別の装置として実現される。図12のファイル監視周期制御機能5、ファイル監視機能6、ファイルサーバ検知機能7およびデータ転送機能8はそれぞれ、図1の周期制御部140、監視部130、検知部120、転送部110に対応する。
[プログラム]
図13は、ファイル監視周期制御システムによる一連の処理を実行するプログラムであるファイル監視周期制御プログラムによる情報処理が、コンピュータを用いて具体的に実現されることを示す図である。図13に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020と、ハードディスクドライブ1080と、ネットワークインタフェース1070とを有する。コンピュータ1000の各部はバス1100によって接続される。
図13は、ファイル監視周期制御システムによる一連の処理を実行するプログラムであるファイル監視周期制御プログラムによる情報処理が、コンピュータを用いて具体的に実現されることを示す図である。図13に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU(Central Processing Unit)1020と、ハードディスクドライブ1080と、ネットワークインタフェース1070とを有する。コンピュータ1000の各部はバス1100によって接続される。
メモリ1010は、図13に例示するように、ROM1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。
ここで、図13に例示するように、ハードディスクドライブ1080は、例えば、OS1081、アプリケーションプログラム1082、プログラムモジュール1083、プログラムデータ1084を記憶する。すなわち、開示の実施の形態に係るファイル監視周期制御プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1083として、例えばハードディスクドライブ1080に記憶される。例えば、制御部100の各部と同様の情報処理を実行する手順各々が記述されたプログラムモジュール1083が、ハードディスクドライブ1080に記憶される。
また、記憶部200に記憶されるデータのように、ファイル監視周期制御プログラムによる情報処理に用いられるデータは、プログラムデータ1084として、例えばハードディスクドライブ1080に記憶される。そして、CPU1020が、ハードディスクドライブ1080に記憶されたプログラムモジュール1083やプログラムデータ1084を必要に応じてRAM1012に読み出し、各種の手順を実行する。
なお、ファイル監視周期制御プログラムに係るプログラムモジュール1083やプログラムデータ1084は、ハードディスクドライブ1080に記憶される場合に限られない。例えば、プログラムモジュール1083やプログラムデータ1084は、着脱可能な記憶媒体に記憶されてもよい。この場合、CPU1020は、ディスクドライブなどの着脱可能な記憶媒体を介してデータを読み出す。また、同様に、ファイル監視周期制御プログラムに係るプログラムモジュール1083やプログラムデータ1084は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。この場合、CPU1020は、ネットワークインタフェース1070を介して他のコンピュータにアクセスすることで各種データを読み出す。
[その他]
なお、本実施形態で説明したファイル監視周期制御プログラムは、インターネット等のネットワークを介して配布することができる。また、ファイル監視周期制御プログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読取可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
なお、本実施形態で説明したファイル監視周期制御プログラムは、インターネット等のネットワークを介して配布することができる。また、ファイル監視周期制御プログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読取可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
1 ファイル監視周期制御システム
10 ファイル監視周期制御装置
20A〜20C 端末装置
30A〜30C ファイルサーバ
40、70 ネットワーク
50 サーバ
60 おとりサーバ
100 制御部
110 転送部
120 検知部
130 監視部
131 変更検出部
132 リスト更新部
133 周期設定部
134 解析部
140 周期制御部
141 対象取得部
142 計数部
143 周期算出部
144 周期設定部
200 記憶部
201 監視対象リスト(ブラックリスト)
202 監視周期データテーブル
1000 コンピュータ
1010 メモリ
1011 ROM
1012 RAM
1020 CPU
1070 ネットワークインタフェース
1080 ハードディスクドライブ
1081 OS
1082 アプリケーションプログラム
1083 プログラムモジュール
1084 プログラムデータ
1100 バス
10 ファイル監視周期制御装置
20A〜20C 端末装置
30A〜30C ファイルサーバ
40、70 ネットワーク
50 サーバ
60 おとりサーバ
100 制御部
110 転送部
120 検知部
130 監視部
131 変更検出部
132 リスト更新部
133 周期設定部
134 解析部
140 周期制御部
141 対象取得部
142 計数部
143 周期算出部
144 周期設定部
200 記憶部
201 監視対象リスト(ブラックリスト)
202 監視周期データテーブル
1000 コンピュータ
1010 メモリ
1011 ROM
1012 RAM
1020 CPU
1070 ネットワークインタフェース
1080 ハードディスクドライブ
1081 OS
1082 アプリケーションプログラム
1083 プログラムモジュール
1084 プログラムデータ
1100 バス
Claims (8)
- 不正なファイルの配置場所を特定する統一資源位置指定子を抽出し、当該統一資源位置指定子に配置されるファイルを監視する監視部と、
所定の統一資源位置指定子を含む命令のサーバへの送信を検出し、送信回数をカウントする計数部と、
前記所定の統一資源位置指定子により特定されるファイルの監視周期を、前記送信回数に応じて設定する設定部と、
を備えるファイル監視周期制御装置。 - 前記設定部は、前記送信回数の増加に応じて、前記ファイルの監視周期を長く設定することを特徴とする請求項1に記載のファイル監視周期制御装置。
- 不正なファイルの配置場所を特定する統一資源位置指定子を抽出し、当該統一資源位置指定子に配置されるファイルを監視する監視装置と、
前記統一資源位置指定子に配置されるファイルの監視周期を制御するファイル監視周期制御装置と、
を備えるファイル監視周期制御システムであって、
前記ファイル監視周期制御装置は、
前記統一資源位置指定子を含む命令のサーバへの送信を検出し、送信回数をカウントする計数部と、
前記統一資源位置指定子により特定されるファイルの監視周期を、前記送信回数に応じて設定する設定部と、
を備え、
前記監視装置は、
前記設定部が設定した監視周期に応じて前記統一資源位置指定子に配置されるファイルを取得し、当該ファイルの有無および差分を抽出することを特徴とするファイル監視周期制御システム。 - 前記設定部は、前記送信回数の増加に応じて、前記ファイルの監視周期を長く設定することを特徴とする請求項3に記載のファイル監視周期制御システム。
- 前記サーバに対する不正な命令を検出するおとりサーバをさらに備え、
前記計数部は、前記不正な命令により前記おとりサーバが取得を指示されたファイルが配置される統一資源位置指定子が記述された攻撃の、単位時間あたりの数をカウントし、
前記設定部は、前記計数部がカウントした単位時間あたりの攻撃数に応じて、取得を指示されたファイルの監視周期を設定し、
前記監視装置は、前記設定部が設定した監視周期に応じて前記統一資源位置指定子に配置されるファイルを取得し、当該ファイルの有無および差分を抽出することを特徴とする請求項3に記載のファイル監視周期制御システム。 - 不正なファイルの配置場所を特定する統一資源位置指定子を抽出し、当該統一資源位置指定子に配置されるファイルを監視する監視装置と、
前記統一資源位置指定子に配置されるファイルの監視周期を制御するファイル監視周期制御装置と、
を備えるファイル監視周期制御システムで実行されるファイル監視周期制御方法であって、
前記ファイル監視周期制御装置は、前記統一資源位置指定子を含む命令のサーバへの送信を検出し、送信回数をカウントする計数工程と、
前記ファイル監視周期制御装置は、前記統一資源位置指定子により特定されるファイルの監視周期を、前記送信回数に応じて設定する設定工程と、
前記監視装置は、前記設定工程において設定した監視周期に応じて前記統一資源位置指定子に配置されるファイルを取得し、当該ファイルの有無および差分を検出する検出工程と、
を含んだことを特徴とするファイル監視周期制御方法。 - 不正なファイルの配置場所を特定する統一資源位置指定子を含む命令のサーバへの送信を検出し、送信回数をカウントする計数ステップと、
前記統一資源位置指定子により特定されるファイルの監視周期を、前記送信回数に応じて設定する設定ステップと、
前記設定ステップにおいて設定した監視周期に応じて前記統一資源位置指定子に配置されるファイルを取得し、当該ファイルの有無および差分を検出する検出ステップと、
をコンピュータに実行させるためのファイル監視周期制御プログラム。 - コンピュータを請求項1または2に記載のファイル監視周期制御装置として機能させるためのファイル監視周期制御プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013109099A JP5952219B2 (ja) | 2013-05-23 | 2013-05-23 | ファイル監視周期制御装置、ファイル監視周期制御システム、ファイル監視周期制御方法及びファイル監視周期制御プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013109099A JP5952219B2 (ja) | 2013-05-23 | 2013-05-23 | ファイル監視周期制御装置、ファイル監視周期制御システム、ファイル監視周期制御方法及びファイル監視周期制御プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014229126A true JP2014229126A (ja) | 2014-12-08 |
| JP5952219B2 JP5952219B2 (ja) | 2016-07-13 |
Family
ID=52128911
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013109099A Expired - Fee Related JP5952219B2 (ja) | 2013-05-23 | 2013-05-23 | ファイル監視周期制御装置、ファイル監視周期制御システム、ファイル監視周期制御方法及びファイル監視周期制御プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5952219B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019096223A (ja) * | 2017-11-27 | 2019-06-20 | 東芝三菱電機産業システム株式会社 | 制御システム用マルウェア対策システムおよび制御システム用マルウェアチェックコンピュータ |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9366938B1 (en) | 2009-02-17 | 2016-06-14 | Vescent Photonics, Inc. | Electro-optic beam deflector device |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004164369A (ja) * | 2002-11-14 | 2004-06-10 | Toshiba Corp | ファイル監視方法、ファイル監視プログラム及びコンピュータシステム |
| US20050120063A1 (en) * | 2003-07-08 | 2005-06-02 | Luke Koestler | Automatic regeneration of computer files |
| JP2009123052A (ja) * | 2007-11-16 | 2009-06-04 | Kddi Corp | ポリシ生成システム、プログラム、および記録媒体 |
| JP2010198386A (ja) * | 2009-02-25 | 2010-09-09 | Nippon Telegr & Teleph Corp <Ntt> | 不正アクセス監視システムおよび不正アクセス監視方法 |
| JP2011257960A (ja) * | 2010-06-08 | 2011-12-22 | Nippon Telegr & Teleph Corp <Ntt> | 更新方法、更新装置及び更新システム |
-
2013
- 2013-05-23 JP JP2013109099A patent/JP5952219B2/ja not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004164369A (ja) * | 2002-11-14 | 2004-06-10 | Toshiba Corp | ファイル監視方法、ファイル監視プログラム及びコンピュータシステム |
| US20050120063A1 (en) * | 2003-07-08 | 2005-06-02 | Luke Koestler | Automatic regeneration of computer files |
| JP2009123052A (ja) * | 2007-11-16 | 2009-06-04 | Kddi Corp | ポリシ生成システム、プログラム、および記録媒体 |
| JP2010198386A (ja) * | 2009-02-25 | 2010-09-09 | Nippon Telegr & Teleph Corp <Ntt> | 不正アクセス監視システムおよび不正アクセス監視方法 |
| JP2011257960A (ja) * | 2010-06-08 | 2011-12-22 | Nippon Telegr & Teleph Corp <Ntt> | 更新方法、更新装置及び更新システム |
Non-Patent Citations (1)
| Title |
|---|
| 八木毅,他: "Webサイト向けマルウェアダウンロードサイトの生存期間監視方式", 電子情報通信学会技術研究報告, vol. 110, no. 79, JPN6016021148, 10 June 2010 (2010-06-10), JP, pages 75 - 80, ISSN: 0003333317 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019096223A (ja) * | 2017-11-27 | 2019-06-20 | 東芝三菱電機産業システム株式会社 | 制御システム用マルウェア対策システムおよび制御システム用マルウェアチェックコンピュータ |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5952219B2 (ja) | 2016-07-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20240015223A1 (en) | Sub-networks based security method, apparatus and product | |
| US9838408B1 (en) | System, device and method for detecting a malicious attack based on direct communications between remotely hosted virtual machines and malicious web servers | |
| US10354072B2 (en) | System and method for detection of malicious hypertext transfer protocol chains | |
| JP5655191B2 (ja) | 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム | |
| US8726338B2 (en) | Dynamic threat protection in mobile networks | |
| US20070039053A1 (en) | Security server in the cloud | |
| US10257213B2 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
| CN109688153B (zh) | 使用主机应用/程序到用户代理的映射的零日威胁检测 | |
| EP2792178B1 (en) | Method for detection of persistent malware on a network node | |
| JP2010198386A (ja) | 不正アクセス監視システムおよび不正アクセス監視方法 | |
| JP5345500B2 (ja) | 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム | |
| JP5986340B2 (ja) | Url選定方法、url選定システム、url選定装置及びurl選定プログラム | |
| JP5952219B2 (ja) | ファイル監視周期制御装置、ファイル監視周期制御システム、ファイル監視周期制御方法及びファイル監視周期制御プログラム | |
| JP5389740B2 (ja) | 更新方法、更新装置及び更新システム | |
| US7536452B1 (en) | System and method for implementing traffic management based on network resources | |
| CN114928564A (zh) | 安全组件的功能验证方法及装置 | |
| JP5313104B2 (ja) | 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム | |
| JP5385867B2 (ja) | データ転送装置及びアクセス解析方法 | |
| JP2014229127A (ja) | ファイル監視周期算出装置、ファイル監視周期算出システム、ファイル監視周期算出方法及びファイル監視周期算出プログラム | |
| JP5393286B2 (ja) | アクセス制御システム、アクセス制御装置及びアクセス制御方法 | |
| KR20120056383A (ko) | 컨텐츠 필터링 시스템 및 패킷 레벨 차단 시스템을 이용한 dos 공격 차단 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150715 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20151001 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20151005 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160516 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160607 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160609 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5952219 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |